Отчеты о вредоносном ПО

Развитие информационных угроз в третьем квартале 2019 года

Целевые атаки и вредоносные кампании

Мобильный шпионаж против стран Ближнего Востока

В конце июня мы опубликовали отчет о деталях целевой вредоносной кампании, в ходе которой через службы мгновенного обмена сообщениями распространялись вредоносные программы для Android-устройств. Мишенью кампании, которой мы дали название «Операция ViceLeaker», стали несколько десятков жертв в Израиле и Иране. Данную активность мы обнаружили в мае 2018 г., сразу после того, как силовые структуры Израиля объявили о том, что Хамас установил шпионское ПО на смартфонах израильских военнослужащих, и позже опубликовали соответствующий отчет на портале аналитики APT-угроз. По нашему мнению, разработка вредоносной программы велась с конца 2016 г., но ее заметное распространение началось с конца 2017 г. Для установки имплантов злоумышленники использовали два метода: во-первых, они выполняли инъекцию вредоносного кода Smali в легитимные приложения, превращая их таким образом в бэкдоры, а во-вторых, они создали легитимное opensource-приложение Conversations, которое содержало вредоносный код. Подробнее об «Операции ViceLeaker» можно прочитать здесь.

APT33 наращивает инструментарий

В июле мы опубликовали обновление о деятельности вредоносной группы NewsBeef (она же APT33, Charming Kitten) в 2016–2017 гг., которая была направлена против мишеней в ОАЭ и на Западе. NewsBeef не располагает продвинутым инструментарием; в прошлом группа занималась сложными долгоиграющими схемами социальной инженерии, которые использовались в популярных социальных сетях. А при проведении вредоносных кампаний группа широко использовала платформу Browser Exploitation Framework (BeEF). Однако летом 2016 г. она внедрила новый инструментарий, состоящий из набора документов Microsoft Office с макросами, PowerShell-скриптов PowerSploit и бэкдора Pupy. В последней атаке этот комплект использовался наряду с целевым фишингом, рассылкой ссылок через соцсети, автономными приложениями обмена сообщениями и атаками watering hole, а также взломанными веб-сайтами (в т. ч. принадлежавшими правительству ОАЭ). Из года в год группа меняла многое в своей деятельности — тактику, инъекции вредоносного JavaScript в стратегически важных местах на взломанных сайтах и инфраструктуру командных серверов. Подписчики нашей аналитики об APT-угрозах получают уникальные данные о вредоносной деятельности более 1000 APT-групп по всему миру, в т. ч. и группы NewsBeef.

Обнаружены свежие образцы имплантов FinSpy для мобильных ОС iOS и Android

Недавно мы рассказывали о свежих версиях импланта FinSpy для Android и iOS. FinSpy — это шпионское ПО, с помощью которого правительства и правоохранительные органы стран по всему миру собирают личные данные пользователей. Импланты FinSpy для iOS и Android имеют практически одинаковую функциональность: они способны собирать различные типы пользовательских данных — контакты, электронные письма, записи из календарей, GPS-координаты, фотографии, файлы в памяти, записи телефонных звонков и данные из самых популярных мессенджеров. Имплант для Android также способен получать права суперпользователя, эксплуатируя известные уязвимости. Версия импланта для iOS таких эксплойтов не содержит, поэтому может быть установлена только на устройствах с джейлбрейком, т. е. для установки импланта нужен физический доступ к устройству. В ходе новейшего исследования мы зафиксировали применение актуальных версий этих имплантов примерно в 20 странах, однако реальное число жертв может быть гораздо выше.

Новый инструмент в арсенале Turla

Turla (она же Venomous Bear, Waterbug, Uroboros) — это русскоязычная APT-группировка, чья деятельность включает кибершпионаж против дипломатических и правительственных целей. В этом году Turla значительно обновила свой арсенал, в частности упаковала свой известный троянец KopiLuwak, написанный на JavaScript, в новый дроппер Topinambour —.NET-модуль, который используется для доставки и развертывания KopiLuwak с помощью зараженных дистрибутивов легитимных программ (таких как VPN-клиенты для обхода цензуры в интернете). Разработчики зловреда дали своему детищу название Topinambour в честь сельскохозяйственной культуры (топинамбура, или земляной груши). Некоторые из сделанных группировкой изменений направлены на обход детектирования зловреда. Например, IP-адреса командных серверов имитируют адреса, типичные для локальных сетей. Кроме того, зловред практически полностью «бесфайловый»: код финальной стадии атаки представляет собой зашифрованный троянец для удаленного администрирования, который «встраивается» в системный реестр и используется зловредом в нужный момент. Два аналога KopiLuwak —.NET-троянец RocketMan и PowerShell-троянец MiamiBeach — используются при кибершпионаже. Мы полагаем, что злоумышленники развертывают эти версии зловреда в тех случаях, когда на компьютерах-жертвах установлены защитные решения, способные задетектировать KopiLuwak. Все три импланта умеют снимать «отпечатки пальцев» целевой системы, собирать данные о системе и сетевых адаптерах, красть файлы, скачивать и запускать другие зловреды. Дополнительно MiamiBeach умеет делать снимки экрана. Подробнее о зловреде можно прочитать здесь.

Новая цепочка заражений группы Cloud Atlas

Группа Cloud Atlas (она же Inception) уже давно известна своей кибершпионской деятельностью, направленной против промышленных предприятий и государственных учреждений. Впервые о ней мы сообщили в 2014 г. и с тех пор продолжаем следить за ее деятельностью. В первом полугодии этого года мы зафиксировали деятельность этой группы, направленную против России, стран Средней Азии и регионов Украины, где продолжаются военные конфликты. TTP (от англ. Tactics, Techniques and Procedures — тактики, методы и процедуры) группы с 2018 г. не изменились — злоумышленники продолжают атаковать интересующие их цели, используя свою обычную тактику и вредоносное ПО. Windows-модуль Cloud Atlas по-прежнему рассылает фишинговые письма потенциальным жертвам; эти письма содержат документы Microsoft Office, которые заключают в себе вредоносные удаленные шаблоны, внесенные в списки разрешенных жертв, которые хостятся на удаленных серверах. Ранее Cloud Atlas доставлял свой имплант-«валидатор» (который называется PowerShower) напрямую, эксплуатируя уязвимость CVE-2017-11882 в Microsoft Equation вместе с уязвимостью CVE-2018-0802. В последние месяцы мы наблюдаем новую цепочку заражений, в которую входят полиморфный скрипт HTA, новый полиморфный имплант VBS, чьей задачей является выполнение PowerShower, и модульный бэкдор Cloud Atlas второго этапа, который мы описали в 2014 г.

Обнаружен банковский зловред Dtrack

Летом 2018 года мы нашли банкер ATMDtrack, нацеленный на индийские финансовые учреждения. Исследуя зловред при помощи YARA и автоматизированной системы атрибуции «Лаборатории Касперского» (Kaspersky Attribution Engine), мы нашли более 180 новых образцов шпионских инструментов, позднее названных Dtrack. Все изначально обнаруженные нами образцы Dtrack были расшифрованными дампами памяти, хотя они доставляются разными дропперами только в шифрованном виде. Мы смогли найти их благодаря общим характерным последовательностям байтов в дампах памяти ATMDtrack и Dtrack. Когда мы расшифровали итоговую полезную нагрузку у дроппера Dtrack и снова применили Kaspersky Attribution Engine, обнаружилось много общего с кампанией DarkSeoul далекого 2013 года, которую приписывают группировке Lazarus. Судя по всему, злоумышленники использовали часть своего старого кода, чтобы атаковать финансовую отрасль и исследовательские центры Индии. Наша телеметрия показывает, что последняя активность DTrack наблюдалась в начале сентября 2019 года. Этот случай показал, насколько важно писать подходящие YARA-правила и иметь надежную систему атрибуции — только так можно обнаружить связи с ранее известными семействами вредоносного ПО. Теперь мы можем добавить в послужной список группы Lazarus еще одно семейство: ATMDtrack и Dtrack. Наша публикация о Dtrack доступна здесь.

Другие новости кибербезопасности

Шифровальщик Sodin атакует MSP-провайдеров

В апреле наше внимание привлек шифровальщик Sodin (aka Sodinokibi и REvil). Примечателен в первую очередь его метод распространения: эксплуатируя уязвимость CVE-2019-2725, зловред запускал PowerShell-команду на уязвимом сервере Oracle WebLogic, что позволяло злоумышленникам загрузить на него дроппер, который, в свою очередь, устанавливал полезную нагрузку — шифровальщик. Патчи, закрывающие эту уязвимость, были выпущены в апреле, но в конце июня обнаружилась аналогичная уязвимость — CVE-2019-2729. Зловред также проводил атаки на MSP-провайдеров. В одних случаях злоумышленники для доставки троянца использовали консоли удаленного доступа Webroot и Kaseya, в других — проникали в инфраструктуру MSP-провайдеров, используя RDP-соединение, повышали привилегии, отключали защитные решения и резервные средства, а затем загружали на компьютер-жертву шифровальщик. Шифровальщик тоже оказался необычным: он не требовал от пользователя никаких действий. Согласно нашей статистике, большая часть жертв находилась в Азиатско-Тихоокеанском регионе — на Тайване, в Гонконге и Южной Корее.

Шифровальщики остаются большой проблемой как для домашних пользователей, так и для компаний. Восстановить зашифрованные ими данные зачастую невозможно. Однако в некоторых случаях это удается; недавний пример — программы-вымогатели Yatron и FortuneCrypt. Если ваши данные когда-нибудь окажутся зашифрованными троянцем-вымогателем, а резервных копий у вас не окажется, то стоит заглянуть на сайт No More Ransom и посмотреть, нет ли утилит-дектрипторов. Для данных шифровальщиков они доступны здесь и здесь.

Майнинг на веб-страницах

Вредоносные майнеры — это программы, которые без ведома пользователя используют ресурсы компьютера для майнинга криптовалюты. Бизнес-модель проста: заражение компьютера, использование вычислительной мощности центрального и/или графического процессора для генерации «монет» и их «вывод». Для пользователя неочевидно, что его компьютер заражен — большинство людей редко полностью загружают свои компьютеры, так что майнеры используют свободные 70-80% вычислительных ресурсов. На компьютеры пользователей и корпоративные машины майнеры попадают обычно вместе с рекламным ПО, взломанными играми и прочим пиратским контентом. Но есть и другой метод кражи вычислительных ресурсов — встраивание в веб-страницы скрипта для майнинга, который запускается в тот момент, когда пользователь открывает зараженный сайт в браузере. При заражении корпоративных сетей киберпреступники могут получить доступ к огромным вычислительным мощностям. Но каковы последствия майнинга? Недавно мы попытались оценить влияние веб-майнеров на экономику и окружающую среду и таким образом оценить экономический эффект защиты от веб-майнеров.

Совокупную сэкономленную мощность можно рассчитать по формуле ·N, где — среднее значение прироста мощности, потребляемой пользовательским устройством во время веб-майнинга, а N — число заблокированных попыток, по данным Kaspersky Security Network за 2018 год. Данная мощность составляет 18,8±11,8 гигаватт (ГВт), что в два раза больше, чем усредненная мгновенная мощность потребления всех майнеров биткойна в том же году. Для расчета сэкономленного объема электроэнергии необходимо умножить данную величину на среднее время, которое пользовательские устройства тратят на веб-майнинг, т. е. выполнить расчет по формуле ·N·t, где t — среднее время, которое бы проработал веб-майнер, если бы не был заблокирован нашим продуктом. Поскольку мы не можем оценить эту величину по данным «Лаборатории Касперского», была использована информация из открытых источников сторонних исследователей, в соответствии с которыми объем электроэнергии, сэкономленный пользователями наших продуктов, оценивается от 240 до 1670 мегаватт-часов (МВт·ч). Если пересчитать по среднему тарифу на электроэнергию для населения (физических лиц), это составит от 900 тысяч до 6,3 миллиона рублей.
Текст нашей публикации доступен здесь.

Ландшафт угроз для macOS

Угроз для macOS действительно меньше, чем для Windows, — в основном из-за того, что ОС от Microsoft популярнее среди пользователей, соответственно, больше потенциальных жертв, и потому Windows более привлекателен для злоумышленников. Однако число пользователей macOS постепенно растет, и различных угроз становится больше.
В настоящее время в нашей коллекции находится 206 759 уникальных вредоносных и потенциально нежелательных файлов для macOS. С 2012 по 2017 год число атакованных пользователей этой ОС последовательно росло; в 2017 г. атакам подверглись около 255 000 компьютеров, работающих под macOS. Однако начиная с 2018 года количество атакованных пользователей стало уменьшаться и в первой половине 2019 года составило уже 87 000. Большинство угроз для macOS в 2019 году относилось к категории AdWare — они просты в разработке и этим привлекают киберпреступников, желающих получить прибыль при минимуме вложений.
Количество фишинговых атак на пользователей macOS также растет год от года. В первом полугодии 2019 г. мы зафиксировали почти 6 миллионов фишинговых атак, 11,8% из которых было направлено на корпоративных пользователей. Больше всего фишинговых атак было в Бразилии (30,87%), Индии (22,08%) и Франции (22,02%). В последние годы также выросло число фишинговых атак с использованием бренда Apple — каждый год оно росло примерно на 30-40%. В 2018 г. было зафиксировано почти 1,5 млн таких атак, а только в первом полугодии 2019 г. их число уже превысило 1,6 млн — это уже на 9% больше, чем в прошлом году.
Наш отчет по текущему ландшафту угроз для macOS доступен здесь.

Уязвимости «умных домов»

Один из наших коллег решил превратить свое жилище в «умный дом» и установил систему Fibaro Home Center, чтобы удаленно управлять домашними устройствами — освещением, отоплением, холодильником, стереосистемой, нагревателем в сауне, детекторами дыма, датчиками затопления, IP-камерами и дверным звонком. После этого он пригласил исследователей из группы Kaspersky ICS CERT протестировать систему на защищенность. Исследователям была известна модель и IP-адрес контроллера (хаба) «умного дома». Они решили не исследовать трафик по протоколу Z-Wave, который используется контроллером для коммуникаций с устройствами, потому что для этого понадобилось бы находиться рядом с домом. Они также отказались от идеи эксплуатировать интерпретатор языка программирования — в концентраторе Fibaro использовалась версия с патчем.
Нашим исследователям удалось найти уязвимость (вопреки усилиям производителя по исключению таковых), позволяющую внедрять SQL-инъекции, а также пару уязвимостей в PHP-коде, делающих возможным удаленное выполнение кода. При эксплуатации этих уязвимостей злоумышленники могли бы получить доступ с root-правами на концентраторе и соответственно полный контроль над устройством. Исследователи также обнаружили существенную уязвимость в облаке Fibaro, эксплуатация которой могла бы позволить злоумышленникам получить доступ к резервным копиям данных, загружаемых в облако с концентраторов Fibaro по всему миру. Таким образом исследователи получили доступ к резервным копиям, хранящимся на устройстве Fibaro Home Center в доме нашего коллеги. Среди этих данных обнаружился файл базы данных SQLite, содержащий очень много личной информации: координаты дома, геолокация со смартфона владельца «умного дома», его электронные адреса, с использованием которых он зарегистрировался в системе Fibaro, сведения об IoT-устройствах в доме и даже его пароль. К чести Fibaro Group, они создали довольно безопасный продукт, а когда мы сообщили компании об обнаруженных нами уязвимостях, они были оперативно устранены. Полная история доступна здесь.

Безопасность «умных» зданий

В этом квартале мы также исследовали безопасность систем автоматизации в зданиях — датчиков и контроллеров, управляющих лифтами, вентиляцией, отоплением, освещением, электро- и водоснабжением, видеонаблюдением, сигнализацией, оповещением, пожаротушением и т. д. Такие системы используются не только в офисных и жилых зданиях, но и в больницах, торговых центрах, тюрьмах, на транспорте, на промышленном производстве и в других местах, где необходимо держать под контролем большие рабочие и/или жилые площади. Мы решили посмотреть, какие угрозы актуальны для систем автоматизации зданий и с каким вредоносным ПО столкнулись их владельцы за первые шесть месяцев 2019 года.
Большинство заблокированных угроз не являются ни целевыми, ни специфичными для систем автоматизации зданий — это обычные зловреды, которые регулярно встречаются в корпоративных сетях, не связанных с системами автоматизации. Такие угрозы могут оказывать значительное влияние на доступность и целостность систем автоматизации, начиная от шифрования файлов (в т. ч. базы данных) и заканчивая отказом в обслуживании сетевого оборудования и рабочих станций из-за вредоносного трафика и нестабильных эксплойтов. Более серьезную угрозу представляют шпионские программы и бэкдоры, поскольку украденные данные аутентификации и предоставляемая ими же возможность удаленного управления могут использоваться для планирования и последующего проведения целевой атаки на систему автоматизации здания.

«Умные» автомобили и подключенные устройства

«Лаборатория Касперского» в прошлом неоднократно исследовала потенциальные проблемы безопасности «умных» автомобилей (см., например, здесь и здесь). По мере того как автомобили становятся все интеллектуальнее и все больше их компонентов подключается к интернету, растет и возможная поверхность атаки. И это относится не только к автомобилям и обслуживающим их приложениям: в наши дни на рынке предлагается множество дополнительных комплектующих для повышения удобства вождения — от автомобильных сканеров до различных вариантов тюнинга. В нашей недавней публикации мы исследовали настройки безопасности ряда автомобильных устройств с выходом в интернет, что позволило нам выделить наиболее очевидные проблемы с безопасностью таких устройств. Объектом исследования стали следующие приборы: пара диагностических устройств, видеорегистратор, GPS-трекер, «умная» сигнализация и система мониторинга давления и температуры в шинах.
Мы обнаружили, что эти устройства в целом хорошо защищены, не считая мелких уязвимостей. Отчасти это связано с их ограниченной функциональностью, из-за которой даже успешная атака не приведет к серьезным последствиям. Другая причина — бдительность производителей. С другой стороны, интеллектуальность устройств растет, возможности их подключения к интернету становятся все шире; следует помнить, что чем умнее устройство, тем больше внимания следует уделять безопасности при его проектировании и в ходе дальнейшей поддержки: невнимательность при разработке продукта или неисправленная уязвимость могут привести к угону машины или шпионажу за автомобильным парком.
Мы продолжаем разрабатывать KasperskyOS, с тем чтобы помочь нашим пользователям обеспечить безопасность подключенных систем — мобильных устройств и персональных компьютеров, IoT-устройств, «умных» энергетических, промышленных, телекоммуникационных и транспортных систем.
Если вы хотите приобрести «умное» устройство для автомобиля, следует учесть риски для безопасности. Проверьте, нет ли у выбранного вами устройства известных уязвимостей, можно ли к нему применить обновления безопасности. Не всегда стоит выбирать самый новый продукт — он может содержать еще не обнаруженные бреши в системе безопасности; лучше всего покупать продукты, ПО которых уже несколько раз обновлялось. И наконец, всегда обращайте внимание на безопасность «мобильного измерения» вашего решения, особенно если у вас смартфон на Android, — приложения часто облегчают жизнь, но если устройство будет скомпрометировано, последствия могут быть печальными.

Кража персональных данных

Мы привыкли к постоянному потоку новостей об утечках данных. Среди недавних примеров — кража 23 205 290 почтовых адресов пользователей компании CafePress вместе с паролями, которые хранились в виде хэшей SHA-1, зашифрованных при помощи метода кодирования Base64. Вызывает обеспокоенность то, что об утечке сообщил сайт Have I Been Pwned, а сама компания CafePress известила своих клиентов о происшествии только через несколько месяцев.

В августе два израильских исследователя в публично доступной базе данных

обнаружили отпечатки пальцев, данные распознавания лиц и прочие персональные данные из системы биометрического управления доступом Biostar 2. Особенное беспокойство вызывает компрометация биометрических данных: скомпрометированный пароль всегда можно поменять, но отпечатки пальцев с нами на всю жизнь.

Facebook неоднократно подвергался критике из-за ненадлежащего обращения с данными пользователей. В последнем из инцидентов утекли сотни миллионов телефонных номеров, связанных с учетными записями Facebook, — они были обнаружены на сервере, не защищенном паролем. Каждая запись содержала уникальный идентификатор и телефонный номер, привязанный к учетной записи пользователя. Таким образом, пользователи Facebook оказались потенциально уязвимы к спам-звонкам и мошенническим атакам с подменой SIM-карты.

12 сентября компания-разработчик мобильных игр Zynga сообщила, что к учетным записям некоторых игроков могли получить доступ «внешние хакеры». Позже хакер под ником Gnosticplayers заявил, что взломал базу данных пользователей игры Words With Friends, а также получил данные из игр Draw Something и OMGPOP (последняя более не поддерживается), — получается, что были скомпрометированы данные более чем 200 миллионов пользователей игр под ОС Android и iOS. При том, что Zynga заметила взлом и сообщила о нем пользователям, вызывает озабоченность тот факт, что пароли хранились открытым текстом.

Пользователи, которые доверяют свои личные данные онлайн-сервисам, не могут напрямую управлять их безопасностью. В то же время можно ограничить потенциальный ущерб от их взлома, создавая уникальные пароли, которые сложно подобрать, или используя менеджер паролей. Помимо этого, затруднить доступ к данным можно с помощью двухфакторной аутентификации (в тех случаях, когда она поддерживается).

Также следует помнить, что взлом сервера — это не единственный способ, с помощью которого киберпреступники могут заполучить пароли и прочие личные данные пользователей: они также напрямую собирают данные, которые хранятся на пользовательских компьютерах. Это относится к данным из браузера, файлам на жестком диске, системным данным, именам учетных записей и т. д. По нашей статистике, в первом полугодии 2019 г. 940 000 пользователей подверглись атаке зловредов, предназначенных для кражи подобной информации. Мы рекомендуем не хранить пароли и данные банковских карт в браузере, а использовать специальное ПО. Прочитать подробнее о том, как киберпреступники крадут персональные данные, можно здесь.

Развитие информационных угроз в третьем квартале 2019 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике